瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 假如病毒通过IEFO劫持XP的“安全中心”和“WINDOWS UPDATE

123   2  /  3  页   跳转

假如病毒通过IEFO劫持XP的“安全中心”和“WINDOWS UPDATE

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-05 21:36 | 显示全部 短消息 资料
字号: 11楼

引用:
【33887的贴子】注册表那个键值项删了有啥后果,怕怕不敢弄.只能用杀软和ssm监控那个地方.都是设置成提示操作.
    要是杀软和ssm都挨挂了,截不截持好像也没意思了,只能动手清了
………………

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
————————先导出,后删除。
万一以后要用,再导入即可。
我已将家里台式机(XP专业版)的这个键删除了。目前,没有异常。XP家庭版——根本就没这个键。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 11:47 | 显示全部 短消息 资料
字号: 12楼

引用:
【watermelon9的贴子】修改这个键植的权限不可以么囧
………………

你可以用权限禁止这个键的写入。
但是,某些变种可以使你的限制无效(至少我见过一个这样的变种)。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 17:24 | 显示全部 短消息 资料
字号: 13楼

引用:
【horseluke11的贴子】


删除后病毒照样可以建立,照样起作用。这点本人不明白了。

………………

1

附件附件:

下载次数:141
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-6 17:24:39
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 17:27 | 显示全部 短消息 资料
字号: 14楼

引用:
【horseluke11的贴子】


删除后病毒照样可以建立,照样起作用。这点本人不明白了。

2

附件附件:

下载次数:151
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-6 17:27:04
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 17:29 | 显示全部 短消息 资料
字号: 15楼

引用:
【horseluke11的贴子】


而且这个Image File Execution Options还有一些其它的作用,整个删除本人觉得不妥
………………

前面已经说过:
先导出,后删除。
以后要用,导入即可。

我的IFEO已经删除N天了。目前为止,没事。

家庭版XP没有IFEO键,即使中了此毒,也没那么难对付。————例证之一。

当然了,如果你是程序员,需要用Debugger指定调试程序,IFEO键不要删除。但是,狂中这类病毒的朋友们有几个是专业程序员呢?程序员会那么菜吗?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 17:32 | 显示全部 短消息 资料
字号: 16楼

引用:
【Jokkkka的贴子】猫叔这样给病毒作者灵感,真是晕死.
………………

病毒作者比我聪明。
IFEO劫持泛滥——早晚的事。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 19:35 | 显示全部 短消息 资料
字号: 17楼

引用:
【horseluke11的贴子】谢谢猫叔的回答。

但是我的前提是没有tiny的基础上的。在这种情况下,删除后病毒应该照样可以建立,照样起作用吧?

另外,搞个winlogon.exe等系统关键进程劫持的,会无法进入系统。这个我的同学曾经无聊时候实验过,结果害得他重装系统(因为他不会用故障控制台,不知道恢复方法........)
………………

注册表监控,不仅Tiny有,不少安全软件都有此功能。关键是要设置好。把持住IFEO这个键的“建立”、“写入”操作。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-09 21:03 | 显示全部 短消息 资料
字号: 18楼

引用:
【很害怕病毒的贴子】你们高手,我不懂,因为很少与病毒打交道..

但是我想问下,如何设置WINDOWS来保护自己的电脑不被劫持呢?
有方法吗?
………………

1

附件附件:

下载次数:166
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-9 21:03:27
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-09 21:04 | 显示全部 短消息 资料
字号: 19楼

2

附件附件:

下载次数:185
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-9 21:04:07
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-09 21:05 | 显示全部 短消息 资料
字号: 20楼

结果:
无论系统管理员还是病毒,都不能创建/写入IFEO项。
要更改IFEO项,请用IceSword。

附件附件:

下载次数:159
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-9 21:05:32
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT